I prosessen med å bli verdens mest digitaliserte land risikerer vi å få verdens mest overvåkede innbyggere.

I den norske debatten om personvern vises det gjerne til USA eller Kina når det er behov for eksempler på ukontrollert og inngripende overvåking. Nå holder det å se til våre naboland  for å finne disse eksemplene.

Hva skjer når du digitaliserer en velferdsstat og åpner døren på gløtt for de statlige etterretningstjenestene?

Svensken og dansken

Mye av grunnen til at velferdsstater som Norge, Sverige og Danmark fungerer godt, er at de har tilgang til store mengder digitaliserte data. Norge har mange statlige registre blant annet knyttet til helse, utdanning, arbeid, inntekt, velferdsytelser, straff, skatt og eiendom. Dette gjør det lettere å levere gode tjenester til innbyggerne. Men det har også en risiko. I en gjennomdigitalisert stat ligger potensialet for masseovervåking.

I Danmark pågår det nå en omfattende diskusjon om et nytt lovforslag. Forslaget gir etterretningstjenesten PET lov til å lage en analyseplattform der de kan samle data fra offentlige registre. Det kan for eksempel være informasjon om sykehusbesøk, kontakt med psykiatrien og sosialtjenester. De skal også kunne hente inn data fra sosiale medier – som hva folk skriver, liker og deler – og følge med på hvordan folk beveger seg på internett og i virkeligheten.

Ved hjelp av kunstig intelligens skal PET finne mønstre og peke på mistenkelig atferd. Mange er bekymret for at dette gjør at alle blir behandlet som potensielle mistenkte. Det kan føre til frykt for å ytre seg, og påvirke folks forhold og tilgang til velferdstjenester. Koplingen mellom registre, kunstig intelligens og overvåking er noe Danmark også tidligere har blitt kritisert for, blant annet i en rapport fra Amnesty.

I Sverige er det også snakk om mer overvåkning. Der ønsker myndighetene å gi sikkerhetstjenestene økt mulighet til å overvåke internettrafikk og pålegge meldingsapper å opprette en bakdør for å oppheve kryptering. «Nasjonal sikkerhetslagring» innebærer omfattende innsamling av borgernes datatrafikk ved behov. Målet er å bekjempe digital kriminalitet, men innsamlingen vil omfatte vanlige, lovlydige borgere.

Det er fristende å bruke informasjon som allerede er samlet inn til nye formål. Vi ser denne tendensen også i Norge.

Nye holdninger til bruk og deling av data setter personvernet under press i Norge

Fra fødsels- til dødsmelding, registreres norske borgere i utallige registre og vårt livsløp dokumenteres fra fosterstadiet på helsestasjonen, videre i barnehagen, skolen, helsetjenesten, arbeidslivet og NAV. Vi gir fra oss informasjon til staten som nødvendig ledd i å motta diverse tjenester og velferdsgoder. Opprinnelig har informasjonen vært organisert som små «øyer» i offentlig sektor, og kun vært brukt til det formålet som den ble samlet inn for. Men endringer har skjedd. I vår digitaliseringsiver har vi tilpasset oss en ny måte å forholde oss til data på: den har ofte stor verdi utenfor det opprinnelige formålet. Alle offentlige data anses mer og mer som et statlig felleseie.

Lisa Reutter, som er ekspert på datadrevet offentlig sektor, satte ord på det optimistiske forholdet vårt til offentlige data i en episode av Datatilsynets podkast: «Vi holder data atskilt slik at opplysninger samlet inn i én kontekst ikke skal ha noe å si i en annen. Men ideen om data som en muliggjørende teknologi, bidrar til å flytte grensene for hva vi aksepterer og synes er greit».

Sammenstilling av data skaper uklarheter

På Altinget har det i den siste tiden pågått en debatt om de såkalte individdataregistrene. De forslåtte registrene skal samle mye informasjon om barn i skole og barnehage – som fravær, prøveresultater, spesialundervisning, språkopplæring, foreldrenes bakgrunn og økonomisk situasjon. Disse opplysningene skal igjen kobles med data om foreldre og barnets videre liv, som utdanning, jobb, inntekt og helse, samt foreldrenes livsløp. Forskningen på registrene skal benyttes som kunnskapsgrunnlag for å skape en bedre skole. Datatilsynet har advart mot at store og sammenkoblede registre innebærer en endret maktbalanse mellom myndighetene og enkeltindividet, noe som kan påvirke tilliten til statlige myndigheter negativt.

Forbudet vårt mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data fra den norske befolkningens dagligvarekjøp i 2023 var et eksempel på det samme. Ideen om å koble bongdata opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå, var noe vi mente var et uforholdsmessig inngrep i norske borgeres privatliv.

Dette kommer i tillegg til utvidelsene av justismyndighetenes overvåking av borgerne de siste årene, med blant annet lagring av IP-adresser, passasjeropplysninger, Etterretningstjenestens overvåking av internettrafikk og senest PSTs hjemler til å overvåke åpne kilder. Når store deler av kommunikasjonen og kunnskapsinnhentingen vår skjer på digitale plattformer, vil summen av data som samles inn av offentlige og private aktører medføre et stort overvåkingspotensial. Ekstra bekymringsfullt er det når etterretningstjenester kjøper metadata fra apper på det uregulerte markedet, og når Kripos vil bruke private slektsdatabaser i etterforskning.

Alt dette bidrar til å skape uklarhet som forsterker de negative effektene av overvåking og kan svekke personvernet ved at legges press på å utforme tjenester med svakere beskyttelse. Alt dette ble på dramatisk vis satt på spissen i debatten og snuoperasjonen knyttet til sivilbeskyttelsesloven. En situasjon hvor personvernlovgivningen settes til side kan få alvorlige konsekvenser for samfunnet. Det å innføre økte kontrolltiltak på for eksempel internett eller ansiktsgjenkjenning i det offentlige rom vil innebære en svekkelse av sivilsamfunnet. Kontrollmekanismer blir også satt under press i krisesituasjoner. Det er ingen tvil om at Datatilsynet opplevde det svært krevende å si nei til Smittestopp-appen under Covid.

Overvåkingspotensialet i en gjennomdigitalisert stat

At hvert enkelt tiltak kan aksepteres som et nødvendig inngrep i personvernet, kan isolert sett fremstå tilforlatelig. Advokatforeningen har i en kronikk påpekt dilemmaet under overskriften «Jeg vil svekke rettsstaten – gi meg en hjemmel!». Det at nye tiltak hjemles, begrenser ikke nødvendigvis skadevirkningene av selve inngrepet. Mulighetene og hjemlene for sammenkobling av ulike offentlige registre eller private datasett gjør uforutsigbarheten for den enkelte desto større.

Det er godt dokumentert at økt overvåkingstrykk påvirker vår ytre frihet, hvordan vi lever, kommuniserer og bruker tjenester. Enda mer bekymringsfullt er at den også truer vår indre frihet – mange begynner å føle seg overvåket hele tiden. Det er ikke uten grunn at den nye KI-forordningen forbyr bruk av kunstig intelligens som manipulerer folk til å gjøre ting de ellers ikke ville gjort.

Datatilsynet vil advare mot et samfunn hvor all offentlig informasjon og private data samles og gjøres tilgjengelig for nye formål og bruksområder. Et demokrati kjennetegnes ved at det er borgerne som kontrollerer staten, ikke motsatt. Norge, Sverige og Danmark ligger fortsatt på topp på internasjonale demokratiindekser, men vi kan ikke ta slike målinger for gitt. Det fremstår som et paradoks at suksessen til de skandinaviske velferdsstatene – å bruke store mengder data til å levere gode velferdstjenester – kan gjøre oss ekstra sårbare.

Det kan være fristende å se til våre naboland når vi utformer politikk som skal løse fremtidens utfordringer. Men uansett om målet er velferd, forskning eller sikkerhet, er det viktig at politikerne er bevisst det enorme overvåkingspotensialet som ligger i en heldigital og gjennomregistrert stat.

Denne bloggen er basert på en innledning som jeg holdt på seminaret Menneskerettslige perspektiver i den digitale tidsalderen – Institutt for offentlig rett (uio.no) den 2.  mars.

Det fremgår av PSTs trusselvurdering for 2023 at de nå anser ekstreme miljøvernaktivister som en mulig risiko i det norske samfunnet. PST sin trusselvurdering danner grunnlaget for det arbeidet som de, og mange andre virksomheter, gjør for å sikre samfunnet vårt og egne verdier. PST og etterretningstjenesten er gitt kraftige virkemidler og digitale verktøy som skal gjøre de i stand til å møte det trusselbildet de til enhver tid har identifisert.

Ett av disse virkemidlene finner vi i forslaget til ny etterretningslov, hvor en av bestemmelsene som ligger på bordet åpner opp for tilrettelagt innhenting – masseinnsamling av informasjon og data om norske borgeres bevegelser i det digitale rom.

Sett opp mot det faktum at så og si alt vi gjør i dag skjer nettopp i det digitale rommet , og det faktum at trusselbildet er i stadig endring,  så er det grunn til å rope et varsko for personvernet.

Det dynamiske risikobildet som ligger til grunn for metoder og valg som myndighetene gjør tilgjengelige for politi og etterretning, gjør det umulig for oss borgere å ha oversikt og kontroll over når man kan bli overvåket, og når man går klar. For eksempel: «I fjor var jeg en ganske ufarlig miljøverner – i år er jeg en trussel.»

Personvern og ytringsfrihet under press

Den grunnleggende retten til en privat sfære, fri for andres blikk, er under press når samfunnets behov for sikkerhet blir ivaretatt ved å ta i bruk kraftige digitale overvåkningsverktøy. Dette truer våre grunnleggende menneskerettigheter.

Den Europeiske Menneskerettighetsdomstolen formulerte det slik i saken Roman Zakharov v. Russia (2015):

«In view of the risk that a system of secret surevilance set up to protect national security may undermine or even destroy democracy under the cloak of defending it, the Court must be satisfied that there are adequate and effective guarantees against abuse…»

Men det er ikke bare personvernet som er under press i dette bildet. Personvern og ytringsfrihet henger uløselig sammen. Uten personvern, ingen reell ytringsfrihet.

Slik digital masseovervåkning som nå blir løftet frem som verktøy mot ulike trusler, vil også kunne ha en omfattende nedkjølende effekt på ytringer.

Frykten for andres blikk gjør at vi justerer oss inn og demper våre ytringer. Dersom det i tillegg er statens blikk vi er usikre på om når oss, gjør det noe fundamentalt med samfunnet vårt.

Kanskje blir et brennende innlegg på Aftenpostens Si;D fra en miljøengasjert 12-åring det første digitale sporet som blir samlet inn av PST om et ungt og engasjert menneske?

Jeg lar det spørsmålet stå.

Press fra kommersielle aktører

Presset på grunnleggende menneskerettigheter kommer imidlertid ikke bare fra stater og myndigheter i en utrolig tid. Et åpenbart press kommer også fra kommersielle aktører.

En enorm Pacman i form store kommersielle markedsaktører som Google, Meta og Tik Tok saumfarer digitale flater og labyrinter for alt av data som kan være av interesse. Og alt er tilsynelatende av interesse og har kommersiell verdi.

Noen av dere husker sikkert den lille ballen med den store munnen som slukte alt den kom over på sin vei i sin digitale labyrint. Spillet var nærmest hypnotisk, husker jeg, og det var umulig å legge fra seg.

Slik er også tjenestene og produktene disse kommersielle aktørene sender ut i samfunnet – oppslukende og umulig å legge fra seg. Og vi legger igjen digitale spor fra første skudd – og vi er hekta. Jo lenger vi er på, jo mer data samles inn om oss.

På begynnelsen av 2010-tallet ble sosiale plattformer sett på som en nøytral fasilitator for utøvelse av rettigheter, både ytringsfriheten og informasjonsfriheten. Dette bildet har endret seg.  Det er ikke lenger mulig å se bort fra den enorme påvirkningen disse kommersielle plattformene har på politikk, samfunn og demokratiet.

Facebook og Tik Tok lever av å forutse, predikere og forme vår oppførsel og våre meninger. De gjør dette ved å samle inn enorme mengder data. Innsamlingen i seg selv legger press på personvernet, men også hvordan de bruker dataene er en trussel mot grunnleggende rettigheter som personvern, ytringsfrihet, meningsfrihet og informasjonsfrihet.

Når menneskerettighetene debatteres, må vi derfor ta inn over oss og ta med i vurderingene hvilken makt disse selskapene har. Vi har også endt opp med å mer eller mindre bevisst og stilltiende akseptere og tillate at disse store, kommersielle aktørene samler inn enorme mengder med data for kommersielle formål.

Og det er ikke bare den markedsføringsmessige interessen som ligger til grunn for denne omfattende innsamlingen av data.

Akkurat som Pacman så lever kunstig intelligens (KI) av data. Alle disse store aktørene utvikler og tar i bruk KI. Med det datagrunnlaget de har, som de færreste nasjoner eller andre aktører er i nærheten av å ha, så vil de bli – eller forbli – svært mektige premissgiverne for samfunnsutviklingen fremover.

Informasjonsfrihet og meningsfrihet under press

Pacmans innsamling og bruk av data setter jo åpenbart personvernet under press, men også informasjonsfriheten og meningsfriheten. For hvor frie er vi i meningsdannelsen og utviklingen vår, hvis vi risikerer å få presentert falske nyheter eller fakta som er tilpasset oss basert på algoritmer som er utviklet av Kina?

En ungdom jeg kjenner begynte å stille spørsmål ved om jødeforfølgelsen og Holocaust virkelig hadde skjedd. Vedkommende satt ved middagsbordet og stilte spørsmål ved vår tids største forbrytelse. Hen hadde sett på Tik Tok at det var mange som mente jødeforfølgelsen var oppspinn og at jødene skulle ta over verden. Hen hadde altså falt ned i et kanin-hull på Tik Tok. Et algoritmehull.  Dette er en ressurssterk 14-åring og hen har handlekraftige foreldre. Hen hadde sikkert kommet opp av det hullet uten hjelp også, men hen fikk klar og tydelig beskjed fra sine foresatte og mistet Tik Tok på mobilen før middagen var omme.  

Men ikke alle kommer opp av algoritme-hullet.

Hvordan sikrer vi at dagens barn og unge – fremtidens digitale borgere, de som skal forsvare og forvalte demokratiet vårt – kan utvikle seg og danne seg egne, frie meninger i en forsvarlig ramme, når Tik Tok og andre markedskrefter er premissleverandør?

Jeg lar også det spørsmålet stå åpent.

Vi må sikre kollektive mekanismer

Digital teknologi eksisterer ikke i et vakuum. Teknologien kan være et kraftig verktøy for menneskelig fremgang og bidra til å fremme og beskytte menneskerettighetene. Teknologien har gjort kommunikasjon og deling av informasjon enklere, og gjennom det styrket ytringsfriheten og muligheten til demokratisk deltagelse.

Men dataintensive teknologier bidrar altså samtidig til å skape et samfunn der både stater og kommersielle private aktører i økende grad er i stand til å spore, overvåke, analysere, forutsi og manipulere folks oppførsel på en måte vi ikke tidligere har sett.

Denne siden ved den teknologiske utviklingen medfører betydelig risiko for menneskeverd, autonomi og personvern og utøvelsen av menneskerettighetene generelt, hvis den får foregå uten relevante og adekvate motstemmer og sikkerhetstiltak. Vi må sikre kollektive beskyttelsesmekanismer. Lover, regler og krav til digitalisering og bruk av data og KI må på plass.

Hvis vi ikke klarer å sikre slike kollektive mekanismer nå, vil det være mye vanskeligere å få det på plass senere. Vi må sikre det kollektive gode i systemene vi nå åpner for og utvikler, før det er for sent.  

Teknologien er i seg selv nøytral, og utviklet og brukt riktig kan den gi store samfunnsmessige gevinster. Men uten en åpen, offentlig samtale, bevisste politikere og beslutningstakere og hensiktsmessig regulering og nødvendige kontrollmekanismer, for å sikre nettopp det kollektive gode, kan dette også bære galt av sted. 

Vi ser stadig at det legges en snever forståelse av retten til personvern til grunn i avveiningen mot forståelsen av for eksempel nasjonal sikkerhet, som på sin side defineres vidt. Menneskerettighetene er ikke mer robuste enn det vi som demokrati og samfunn gjør de til. Det er vi som må beskytte, verne og sikre rettighetene. Myndighetene må derfor ta konkrete grep for å adressere utfordringene som ligger i digitalisering, slik at vi bekrefter og sikrer menneskerettighetene.

Dersom myndigheter og politikere lar digitaliseringsbehovet og -utviklingen gå på bekostning av for eksempel personvernet, slik Personvernkommisjonen peker på at skjer, vil dette helt klart svekke både relevans og vekt av våre grunnleggende menneskerettigheter.

Det må vi ikke la skje.

Vi må stille krav til myndighetene, politikere og lovgivere om å ta hensyn til grunnleggende menneskerettigheter i digitaliseringen av det norske samfunnet. Ethvert digitaliseringsinitiativ må vurderes opp mot effekten det kan ha på personvernet, ytringsfriheten, retten til fri meningsdannelse og informasjonsfriheten.

I det store bildet så handler det om hvilket samfunn vi vil ha.

Borgerrettsorganisasjoner, blant annet i Sverige, har gått til sak for å få kjent lignende lover kjent ugyldig i Den Europeiske Menneskerettighetsdomstolen (EMD). Dersom staten Sverige felles, vil det bety store endringer i den norske loven. Faktisk kan den nye e-loven lide samme skjebne som datalagringsdirektivet i sin tid gjorde. Det ble vedtatt i Stortinget, formelt som en del av lov om elektronisk kommunikasjon. Men loven trådte aldri i kraft fordi EU-domstolen kom til at direktivet var i strid med EUs Charter for Grunnleggende Rettigheter, som er et speil av Den Europeiske Menneskerettighetskonvensjonens artikkel 8 og vår egen Grunnlov § 102. Dette er juss på sitt aller vakreste, og lyder slik:  

Alle har rett til respekt for privatlivet og familielivet sitt, for heimen sin og kommunikasjonen sin. Det må ikkje utførast husransakingar, så nær som i kriminelle tilfelle. Dei statlege styresmaktene skal sikre eit vern om den personlege integriteten.

Hva er egentlig vedtatt?

Det andre vi må vite er hva som egentlig er vedtatt. Lysne II–utvalget, som la grunnlaget for dagens lov, beskrev et overvåkningssystem som rent konseptuelt var mulig å forstå. Så kom utkastet til proposisjon, og det ble adskillig vanskeligere. Datatilsynet skrev en meget grundig høringsuttalelse der vi mente det var for stor uklarhet knyttet til forslaget til at regjeringen burde gå videre med det. Vi fremsatte imidlertid ikke mindre enn 29 konstruktive forslag til endringer, dersom forslaget mot vårt råd ble videreført. Når regjeringens endelige forslag kom på bordet i april, kunne vi konstatere at mye er forbedret, og flere av Datatilsynets (og andres) forslag er imøtekommet. Men etter å ha lest forslaget, og komiteens innstilling, står jeg fortsatt igjen med et stort spørsmål: Hva er det egentlig som er vedtatt?

Dette er et kjernespørsmål ved enhver vedtatt lov, men særlig viktig når det gjelder e-loven. Den skal i stor grad praktiseres i hemmelighet. Det må vi selvsagt akseptere, men det er påtrengende viktig at vi for eksempel vet hva slags data som kan samles inn. Leser vi lovforslaget, er ikke det mulig å forstå. Leser vi forarbeidene, eller komiteinnstillingen, er spørsmåltegnet like stort.

Lagring av informasjon om alle norske borgere

Det er utvilsomt at det vil bli lagret informasjon om alle norske borgere. En lang rekke aktører vil bli pålagt å tilrettelegge data for e-tjenesten, altså «speile og gjøre tilgjengelig utvalgte kommunikasjonsstrømmer». Dette betyr (veldig forenklet) at et selskap som for eksempel Telenor må sørge for at grensekryssende SMS- og MMS-tjenester som går i Telenors nett, kopieres og legges inn i metadatalagret, for e-tjenestens senere bruk. Men ingen har gitt noe godt svar på hvor langt denne plikten rekker. Er for eksempel Finn.no, med godt over to millioner unike brukere i uken, omfattet, i og med at de har en meldingstjeneste? DnB, Norges største bank, har en meldingstjeneste. TUI, en av Norges største charteroperatører, har en chattetjeneste. Og den vi chatter med trenger ikke sitte i Norge, men i Tyskland, eller kanskje i India. Kan sjefen for etterretningstjenesten, som er gitt denne fullmakten, pålegge disse aktørene å «tilgjengeliggjøre utvalgte kommunikasjonsstrømmer» for e-tjenesten?

Det er heller ikke klargjort hva det betyr at såkalte internettbaserte OTT-tjenester er omfattet av tilretteleggingsplikten. I proposisjonen er det ikke engang forsøkt å beskrive hva dette er. Dette er tilslørende, særlig fordi OTT-tjenester er noe vi alle sammen bruker mange ganger hver eneste dag. Her er noen eksempler: Netflix, Skype, Messenger, WhatsApp, Playstation 4 og Zoom, som Stortinget selv brukte under høringen. Dette burde vært uttrykt i klartekst.

Loven kan i realiteten ikke kontrolleres

Som nevnt er kontrollmekanismene forbedret, og det er selvsagt positivt. Men med den usikkerheten som hefter med omfanget av innhentingen, er det fare for at det nå er vedtatt en lov som i realiteten ikke kan kontrolleres. Kontroll fordrer klarhet og forutsigbarhet, og der er det store mangler ved det som er vedtatt.

Flere høringsinstanser, blant annet Datatilsynet, tok til orde for at loven bør evalueres. Det er veldig bra at Stortinget sluttet seg til dette. Vedtaket lyder:

Evalueringen skal være offentlig og foreligge senest fire år etter at loven er satt i kraft. Evalueringen skal gjelde lovens virke og mulighet for kontroll av dens bestemmelser, inkludert ressurssituasjonen, kompetanse og virkemidler hos EOS-utvalget og domstolene.

Nedkjølingseffekt

Men hva med konsekvensene for den enkelte borgers personvern? Og hva med nedkjølingseffekten, altså om innføring av masseovervåkning vil føre til at borgerne generelt og grupper i befolkningen spesielt, vil legge bånd på sin kommunikasjon? Datatilsynet gjennomførte nylig en spørreundersøkelse, der vi stilte dette spørsmålet:

«Har du gjort noen av de følgende aktivitetene fordi du er usikker på om myndigheter som politiet, PST eller etterretningstjenesten kan få tilgang til informasjonen?«

Svarene viste at 16% hadde unnlat å delta i en debatt på Facebook, eller deltatt i kommentarfeltet i en nettavis.

Vi lever kanskje i verdens frieste land, med utstrakt ytringsfrihet, en flora av medier og fri meningsdannelse. I denne konteksten kan vi ikke slå oss til ro med at hver åttende innbygger har lagt bånd på seg selv. Det er grunn til å tro at prosentdelen er høyere i deler av befolkningen, for eksempel blant innvandrere, og grupper i samfunnets randsone. Eller for igjen å sitere Yassine, som var informant i en masteroppgave i kriminologi om nedkjølingseffekt. Hun uttrykker det slik:  

Jeg har tenkt over det sjæl, når jeg er på telefonen og prater om Islam, så tenker jeg «oi shit, det burde jeg kanskje ikke ha sagt … Tenk om noen hører det og tror jeg kanskje skal bombe noen» eller no ikke sant, det er helt sykt. Du blir jo paranoid.

Jeg er fortsatt bekymret for Yassine!

• Hva vil et digitalt grenseforsvar bety for personvernet? Hør Personvernpodden – Datatilsynets egen podcast.
• Les Datatilsynets siste høringsinnspill til Stortinget

Lovforslaget bygger i stor grad på det såkalte Lysne II-utvalgets utredning som Datatilsynet sa et klart nei til i 2017, se bloggen «Nei til digitalt grenseforsvar». Også Norges nasjonale institusjon for menneskerettigheter konkluderte med at forslaget trolig var grunnlovsstridig: Høringsuttalelse til Forsvarsdepartementet om Lysne II-utvalgets utredning «Digitalt grenseforsvar». 

Det er en meget grundig utredning som ligger til grunn for lovforslaget, og vi vil svare med den samme grundighet i vårt høringssvar som vil foreligger før høringsfristen går ut 12. februar 2019. Allerede nå er det imidlertid grunn til å påpeke følgende: I Jeløya-plattformen gikk regjeringen inn for å oppnevne en Personvernkommisjon som blant annet skal «se på personvernet i justissektoren». Det er svært gledelig at en slik kommisjon ser dagens lys, ettersom det aldri er foretatt en slik gjennomgang når det gjelder justissektoren. I vårt innspill til mandat understreket vi imidlertid at det vil være svært uheldig å gå videre med forslaget om digitalt grenseforsvar før personvernkommisjonen har sluttført sitt arbeid.

I vår høring understreket vi at det vil være svært uheldig å gå videre med forslaget om digitalt grenseforsvar før personvernkommisjonen har sluttført sitt arbeid.

Nå er det nettopp det som er i ferd med å skje. Forslag til digitalt grenseforsvar er sendt på høring, men Personvernkommisjonen er fortsatt ikke nedsatt. For at en slik kommisjon skal ha noe for seg, må den både gi en beskrivelse av nå-tilstanden for overvåkningen i Norge, og ta stilling til hva det betyr for den enkelte borgers personvern dersom digitalt grenseforsvar innføres. Sentrale spørsmål er blant annet om det vil medføre en nedkjølingseffekt blant vanlige folk og om vi vil se at opplysningen som samles inn brukes til nye formål. Det er også viktig at kommisjonen løfter blikket og legger grunnlaget for en debatt om hva slags samfunn vi ønsker, og hvor langt det er riktig å gå når det gjelder å begrense innbyggernes frihet. Dersom digitalt grenseforsvar vedtas før kommisjonen har sagt sitt til forslaget, blir en slik debatt uten særlig betydning.

Det er viktig at personvernkommisjonen løfter blikket og legger grunnlaget for en debatt om hva slags samfunn vi ønsker, og hvor langt det er riktig å gå når det gjelder å begrense innbyggernes frihet.

Forsvarsminister Frank Bakke-Jensen uttalte til NRK tidligere i dag at digitalt grenseforsvar vil føre til bedre personvern fordi det vil forhindre alvorlig kriminalitet. En slik uttalelse viser to ting; at forsvarsministeren ikke forstår hva personvern er, og at han setter en standard på debatten som bringer oss rett ned i skyttergravene for debatten om datalagringsdirektivet. Også der forsøkte tilhengerne å omdefinere hva som er godt personvern til å gjelde kriminalitetsbekjempelse. For det første er dette et argument uten en logisk grense, for det er uendelig mye som kan føre til mindre kriminalitet, for eksempel massiv overvåkning av befolkningen. Vet man hvor alle til enhver tid er og hva de holder på med vil det utvilsomt føre til mindre kriminalitet, men det vil undergrave folks personvern. Personvern handler om retten til selvbestemmelse, retten til å kommunisere mest mulig fritt og uhindret og retten til å ha private rom der man kan utfolde seg fritt uten å måtte kikke seg over skulderen, for å nevne noe. Det forsvarsministeren i realiteten sier, satt litt på spissen, er at det er godt personvern å tillate overvåkning av alle norske borgeres grensekryssende kommunikasjon, og å lagre det i 18 måneder. Det er et veldig dårlig utgangspunkt for en god debatt.

Av Rozemarijn van der Hilst-Ytreland og Stian Kringlebotn

Vår digitale infrastruktur gir et nærmest ubegrenset overvåkingspotensial. Hvordan skal staten få utnytte dette potensialet? For et år siden la Lyse II-utvalget frem sin rapport som vurderer om Etterretningstjenesten bør få tilgang til tele- og datasignaler som krysser våre landegrenser. Utvalget kom da med et forslag til et digitalt grenseforsvar. Forslaget har både fått støtte og sterk kritikk, og det er åpenbart at ulike aktører mener at mye står på spill.

Fullt hus og stor interesse
Sammen med Nasjonal institusjon for menneskerettigheter (NIM) inviterte Datatilsynet mandag 25. september til et kveldsseminar på Litteraturhuset for å diskutere forslaget til digitalt grenseforsvar. Seminaret ble raskt fullbooket, og kjelleren i Litteraturhuset var fylt til randen. Det var tydelig at dette var av stor interesse for mange. De som ikke fikk plass, kunne følge seminaret via livestrømming på nettet.

Varog Kervarec, journalist i Inside Telecom, åpnet kvelden med en introduksjon av digitalt grenseforsvar, en gjennomgang av utvalgets forslag og hva det har med folk flest å gjøre. På tross av høy kunnskap blant publikum, ble denne «DGF for dummies» mottatt med stor takk av de fleste, siden de tekniske løsningene i forslaget er ganske kompliserte.

Siri Strand, forsker ved Institutt for forsvarsstudier, ga deretter en presentasjon om fordelene med «bulk-innsamling» basert på erfaringer fra andre land som har innført DGF-lignende løsninger. Det viser seg at løsningen som utvalget legger opp til i stadig større grad er relevant i arbeidet for å motvirke cyberangrep, og i mindre og mindre grad er relevant for terrorbekjempelse.

Strands presentasjon ble etterfulgt av et innlegg av Datatilsynets direktør Bjørn Erik Thon som forklarte personvernulempene et digitalt grenseforsvar vil medføre. Blant annet nevnte han at den enorme datamengden og antall berørte personer gjør at DGF ikke er målrettet nok, og at et slikt tiltak derfor er grunnlovsstridig og bryter med menneskerettigheter. I tillegg mente han at et slik tiltak vil kunne medføre en «nedkjølingseffekt» som er skadelig for vårt demokratiske samfunn.

Paneldebatt med sterke motsetninger
Etter en kort pause var det tid for en paneldebatt med Hans Christian Pretorius, avdelingsdirektør IKT-sikkerhet i Nasjonal sikkerhetsmyndighet, Lise Lyngsnes Randeberg, president i Tekna, Anders Romarheim, førsteamanuensis ved Institutt for forsvarsstudier og Bjørn Erik Thon. Debatten ble ledet av Anine Kierulf fra Nasjonal institusjon for menneskerettigheter.

Hovedargumentene til Pretorius var at dagens trusselbilde er så pass komplekst at de fleste virksomheter ikke er i stand til å beskytte seg selv mot cyberangrep. Økt innsats mot slike angrep er derfor nødvendig. Romarheim tilføyde at et DGF-system i tillegg gir strategiske fordeler og er viktig for å ikke svekke Norges posisjon i NATO. Han varslet at dersom E-tjenesten ikke får tilgang til å bekjempe cyberangrep betyr det «at vi står på perrongen mens cybertoget går».

Randeberg var mindre optimistisk når det gjaldt DGFs nytteverdi og pekte på en rekke «teknologiske blindsoner» som Lysne II-rapporten ikke ser på. Hun nevnte blant annet den økende graden av kryptering som gjør at deler av DGF blir ubrukelig. I tillegg mente hun at Norge per i dag neppe har den nødvendige teknologiske kompetanse til å operere et slik system, noe Pretorius var uenig i.

Flere paneldeltakerne tok til ordet for at et DGF-systemet bør inneholde tekniske løsninger som gjør at personvernet blir best mulig ivaretatt, og Romarheim foreslo at lovgivning i tillegg bør inneholde et «sunset clause» som gjør at hele system bør revurderes (og muligens avvikles) etter et visst antall år. Thon mente derimot at det er usannsynlig at dette vil utgjøre noen forskjell i praksis. I og med at en innføring av DGF krever store investeringer, er det lite trolig at systemet blir stoppet etter bare et noen få år. Thon minnet også om at selv med gode, tekniske løsninger for bruk av innsamlede data, skjer inngrepet i personvernet allerede på innsamlingstidspunktet. Thon fikk bifall fra salen, hvor Ketil Lund (fra Lund-kommisjonen) i en spontant replikk ga uttrykk for sin frykt for økende overvåking og hva det gjør med samfunnet vårt.

God debatt om behov og ulemper
Som forventet førte debatten ikke til enighet om, og i så fall hvordan et digitalt grenseforsvar bør løses, men den har etter vårt syn bidratt til å belyse de ulike aktørens meninger om behov og ulemper med et digitalt grenseforsvar. En ting så det imidlertid ut til å være bred enighet om, nemlig at det er cybertrusler og ikke terror, som er det primære målet for, og verdien av et digitalt grenseforsvar.

Forsvarsdepartementet arbeider videre med utredningen av DGF. Debatten er ikke over.

For de som ønsker å se opptak av seminaret, er det tilgjengelig en periode på YouTube

Dere kan lese mer om Datatilsynets høringssvar til forslaget og finne lenker til relevant informasjon her

I desember 2016 slo EU-domstolen fast at bl.a. de svenske og engelske datalagringslovene var ulovlige: Generell innsamling og lagring av kommunikasjonsopplysninger om en ubegrenset krets av personer ble ansett å være i strid med menneskerettighetene. Slik datalagring kan bare tillates dersom det gjelder data knyttet til et tidsrom, et geografisk område eller en personkrets som på en eller annen måte kan være innblandet i alvorlige lovovertredelser.

Særlig på bakgrunn av disse dommene konkluderte både Datatilsynet og Norges Nasjonale institusjon for menneskerettigheter med at utvalgets forslag var i strid med Den europeiske menneskerettighetskonvensjonen (EMK) og Grunnloven. Dommene kom etter rapportens fremleggelse, men utvalget var godt kjent med at disse avgjørelsene var under oppseiling, og skrev: «[Når] de foreligger, vil DGF naturligvis også måtte vurderes i lys av disse».

En slik vurdering har imidlertid ikke utvalget gjort. Det naturlige ville imidlertid vært å gjøre en vurdering av om forslaget de la fram, i lys av rettsutviklingen, er i strid med EMK og den norske Grunnloven.

Utvalget selv fryktet dessuten formålsutglidning, altså at de innsamlede dataene brukes til nye formål og av andre organer enn opprinnelig vedtatt.

De fremmet forslag som skulle virke begrensende, blant annet at politiet, og andre, ikke kan søke eller bestille informasjon fra DGF, til eget formål, og at data fra DGF ikke kunne brukes som bevis i konkrete straffesaker.

Riksadvokaten var, i høringen sin, ikke enig i dette, og skrev. «[Det er] viktig at loven åpner for at overskuddsinformasjon om begått eller pågående alvorlig kriminalitet mot en person liv [], kan deles med politi og påtalemyndighet». Kripos mente at opplysninger fremkommet ved DGF i noen tilfeller må deles med andre og benyttes.

Men også her har utvalgets medlemmer reagert med taushet. Skal man delta i en debatt om eget forslag, må man også ta inn over seg at svært sentrale rettsavgjørelser og uttalelser fra sentrale høringsinstanser rokker helt grunnleggende ved utvalgets konklusjoner. Dette gjelder særlig når utvalget selv sa dette:

«For å oppnå et rettslig forsvarbart DGF, er det etter utvalgets oppfatning ikke mulig å fravike dette oppsettet i stor grad, og selv små svekkelser i kontrollmekanismene kan føre til at menneskerettigheter og personvernhensyn vil bli ansett som brutt».

Min oppfordring er derfor klar: Utvalgets medlemmer må klargjøre hvordan de ser på sitt eget forslag i lys av utviklingen etter at de fremla sin rapport. Denne debatten er alt for viktig til å late som om ingen ting har skjedd!

Dette innlegget sto på trykk i Aftenposten, tirsdag 30. mai 2017.

**

Takk for invitasjonen. Det er et svært viktig tema vi skal diskutere, nemlig personvernets går i dag.

Det er flere symbolske tidsskiller i denne diskusjonen:

• 11. september 2001: New York og Washington ble rammet av terrorangrep
• 22. juli 2011: Terrorangrep mot regjeringskvartalet og Utøya.
• 7. juni 2013: Edward Snowdens avsløringer ble presentert for første gang
• 8. april 2014: Datalagringsdirektivet (DLD) ble kjent ugyldig
• 8. juni 2016: Dataavlesing vedtas i Norge
• 6. september 2016: Forslaget om å innføre digitalt grenseforsvar legges fram
• 21. desember 2016: Datalagringsdirektiv-dom II – Sverige og UKs implementering av direktivet blir kjent ugyldig av EU-domstolen

Men det startet 11. september 2001, og senere terroraksjoner i London og Madrid. I kjølvannet av disse forferdelige hendelsene ble Patriot act innført i USA, og Europa fulgte etter ved å vedta DLD i 2006. Dette direktivet er et ektefødt barn av de nevnte terrorhandlinger. I tillegg fikk vi flere ulike anti-terrorpakker i 2002 og 2005 her hjemme.

DLD innvarslet noe helt nytt. Det har alltid vært slik at data som allerede var samlet inn til andre formål, kunne brukes i politietterforskning. Men nå gikk vi over til storstilt før-var-innsamling av data om alle norske borgere. Det var altså snakk om data om oss alle, det var snakk om hvem vi ringte, hvem vi tekstet med, hvem vi sendte eposter til og når vi gjorde det. Selv om ikke innhold skulle lagres, vil hvem vi har hatt kontakt med avsløre innholdet i kommunikasjonen. En telefon til Støttesenteret mot Incest etterfulgt av en telefon til politiet er svært avslørende.

DLD ble årets debatt i 2011, og vedtatt med minimalt flertall i Stortinget, 89 mot 80 stemmer. Det ble holdt 105 innlegg og debatten varte i 9 ½ time.

Så kom 22. juli 2011. Delvis i kjølvannet av dette ble det innført en endring i reglene for det straffbare forsøk, ved at tidspunktet for det straffbare ble flyttet til et tidligere tidspunkt i gjerningsprosessen, til et tidspunkt da ytre tegn peker mot gjennomføringen. Det var altså et langt stykke fra Andenæs’ postulat: Planleggingens tid er forbi, nå skrider han til verket. Begrunnelsen var dessuten oppsiktsvekkende. Det var ikke å straffe, men straffbarheten skulle åpne for bruk av tvangsmidler på et tidligere tidspunkt. Dette innvarslet noe helt nytt i norsk rett

7. juni 2013 var jeg i USA for å drive research til en bok jeg skrev om Den amerikanske presidents norske datter. Samme dag hadde Washington Post sitt først oppslag om Edward Snowdens avsløringer. Personverndebatten tok en ny retning, særlig etter at det kom fram at Angela Merkels telefon hadde blitt avlyttet. USAs forhold til flere land, herunder Tyskland, ble skadet, og fortsatt sliter man med sår som ikke har grodd og manglende tillitt.

Det interessante for dagens tema er midlertid dette: Det kom en helt ny dynamikk inn i personverndebatten. Og i april 2014 etter kom altså EU-domstolens avgjørelse om at DLD var ugyldig.

Hvorfor ble direktivet kjent ugyldig? Det kan oppsummeres slik:

• Det griper inn i borgernes rett til respekt for sitt privatliv
• Lagring kan føre til at folk får en følelse av å være under konstant overvåking
• Alle typer trafikkdata ( epost, IP-adresser, mobildata, sms osv) behandles likt, uten å differensiere hvor stor betydning de ulike datatypene har for å bekjempe kriminalitet
• Det er for uklare kriterier for straffbarheten, for hva er egentlig alvorlig kriminalitet?
• MEN: Domstolen anerkjenner at det er legitimt å registrere trafikkdata for å bekjempe kriminalitet

Det direkte resultat av dette her i Norge var at loven som implementerte DLD aldri trådt i kraft. Og vi skulle kanskje tro at appetitten på data ble noe svekket etter dette. Men nei, allerede i slutten av august samme år foreslo PSTs sjef Benedicte Bjørnland å «samle inn og bruke stordata». I begrunnelsen var hun forbilledlig åpen på hva dette ville bety:

• PST ville «samle en større mengde informasjon over tid», og de var helt åpne på at mange som ikke har gjort noe galt ville bli registrert
• Kilder i stordataanalyse skulle være all vår nettaktivitet og alle våre dagligdagse aktiviteter
• Terroristalgoritmer ville bli brukt til å flagge mistenkelige personer
• Forslaget ville fravike prinsippet om formålsbestemthet, nødvendighet og relevans

Kl 13:28 samme dag som forslaget ble lagt fram, meldte NRK at forslaget [var] nedstemt før det er foreslått. Samtlige partier sa nei. Dermed kunne vi jo, igjen, håpe at det ble tatt en pause i iveren etter å innføre nye tiltak.

Men igjen ble grensene flyttet, og denne gangen i form av forslag om å innføre dataavlesing, som ble vedtatt sommeren 2016.

Datatilsynet var kritisk til dette forslaget. Dette skyldes blant annet at det ikke er, og må aldri bli, forbudt å tenke ondsindige eller farlige tanker. Vi må heller ikke frata mennesket dets rett til å gjennomføre gode etiske valg, til å følge sitt moralske kompass, om for eksempel å tenke på å gjennomføre en kriminell handling, men når tiden nærmer seg beslutte å ikke gå videre med planene.

Å tillate dataavlesing er et stykke på vei en kriminalisering av tanken

Å tillate dataavlesing er et stykke på vei en kriminalisering av tanken. Et slikt virkemiddel krever en meget god begrunnelse og dokumentasjon for at dette tiltaket faktisk vil ha en så stor effekt på kriminalitetsbekjempelsen at det veier tynge enn inngrepet i personvernet til borgerne. Vi uttrykte i vår høring overraskelse over at slik dokumentasjon ikke ble framlagt, og ble ikke beroliget av at dette heller ikke har latt seg gjøre i våre naboland.

Men vi forsøkte å komme regjeringen i møte, og foreslo at det etter to år måte gjennomføres en evaluering av hvorvidt tiltaket har hatt noen effekt for kriminalitetsbekjempelsen, sett opp mot rettsikkerhets- og personvernmessige konsekvenser.

For å sikre at evalueringen faktisk blir gjennomført, foreslo vi at reglene ble vedtatt som en såkalt solnedgangslov. Dersom det ikke fremlegges solid dokumentasjon på at dataavlesing er et proporsjonalt tiltak, gikk reglene automatisk ut på dato.

Dette ble dessverre ikke vedtatt.

Jeg vil også her komme innom årsmeldingen fra Norges Nasjonale Institusjon for Menneskerettigheter og deres glimrende temarapporten om Grunnlovens § 102 og dataavlesing. Her konkluderes det, riktignok forsiktig, med at deler av reglene om innføring av dataavlesing er i strid med Grunnlovens § 102. Særlig reglene som hjemler bruk av dataavlesing i avvergende og forebyggende øyemed kan være grunnlovsstridig. Dessuten påpekes det at dataavlesing er svært løst definert, og kan innebære en lang rekke tiltak, fra mobiler til printere og treningsarmbånd, som kan gi tilgang til svært ulike type, og i varierende grad relevant, informasjon.

Siste tilskudd på overvåkningsstammen er forslaget om å innføre et digitalt grenseforsvar ( DGF) i Norge, kanskje det største angrepet på personvernet noen gang.

Etter vår mening er utvalgets forslag i strid med Den Europeiske Menneskerettighetskonvensjonens art 8 og Grunnlovens § 102.

Dette skyldes særlig DLD-dom II fra 21. desember i fjor mot bl.a. Sverige, og som gjaldt den svenske implementeringen av DLD. Denne dommen slo fast at masselagring av personlig informasjon om oss er uforenlig med menneskerettighetene.

Begrunnelsen er svært interessant. Domstolen peker først, slik den også gjorde i den første DLD-dommen, på at slike tiltak vil føre til at befolkningen vil få en følelse av å være under kontinuerlig overvåkning. Domstolen sier videre at det må være en sammenheng mellom de dataene som lagres og den konkrete trusselen som tiltaket har til hensikt å avverge.

Videre uttaler domstolen at det er et krav at lagringen må være avgrenset med hensyn til tid, sted og ikke minst personkrets. Denne dommen er usedvanlig klar: den stenger helt enkelt døra for generell masselagring av borgernes data.

Digitalt grenseforsvar vil innebære overvåkning av kommunikasjonen til de fleste innbyggerne i Norge, uten hensyn til om de som blir overvåket har vært involvert i en straffbar handling eller ikke.

DGF vil innebære overvåkning av kommunikasjonen til de fleste innbyggerne i Norge, uten hensyn til om de som blir overvåket har vært involvert i en straffbar handling eller ikke. Og formålene er svært omfattende: Tjenestens lovbestemte oppgaver og årlige politisk fastsatte etterretningsbehov.

Ytterligere merkverdig blir det når vi ser på debatten om såkalt formålsutglidning, nemlig at de innsamlede dataene bruker til nye formål og av andre organer er opprinnelig vedtatt. Her fremmet utvalget tre forslag som skal forhindre slik bruk:

• Informasjon fra DGF som er overskuddsinformasjon for E-tjenesten, kan ikke leveres videre (og skal slettes).
• PST, NSM, Tolletaten og andre myndigheter skal ikke selv kunne søke, og heller ikke kunne bestille informasjon fra DGF – ikke til eget formål i hvert fall, og som en selvstendig begrunnelse.
• Data fra DGF skal ikke brukes som bevis i konkrete straffesaker.

Dette er forståelig at andre organer ønsker tilgang til dataene. Som utvalget skriver: I praksis vil dette si at dersom E-tjenesten – mot formodning og uten hensikt – skulle komme over informasjon om at en person har begått et drap, seksuelle overgrep mot barn eller deltatt i annen alvorlig kriminalitet som ikke er av relevans for E-tjenestens ansvarsområde, vil slik informasjon bli slettet uten videre oppfølging.

Utvalget er imidlertid krystallklare på at slik utvidet bruk rett og slett vil gjøre kretsen av personer som får tilgang til denne type data for omfattende, og de slår ned en grensepåle.

Debatten etter framleggelsen har vist at andre organer meget sterkt argumenterer for å få tilgang.

Riksadvokaten skriver for eksempel at det bør være mulig for E-tjenesten å dele slik informasjon fremkommer i DGF med andre offentlige myndigheter. De skriver at «[Det er] viktig at loven åpner for at overskuddsinformasjon om begått eller pågående alvorlig kriminalitet mot en person liv [], kan deles med politi og påtalemyndighet». Kripos mener at opplysninger fremkommet ved DGF i noen tilfelle må deles med andre og benyttes.

Hva sier utvalget selv om dette? For å oppnå et rettslig forsvarbart DGF, er det etter utvalgets oppfatning ikke mulig å fravike dette oppsettet i stor grad, og selv små svekkelser i kontrollmekanismene kan føre til at menneskerettigheter og personvernhensyn vil bli ansett som brutt.

****

Oppsummert: Hvordan er personvernets kår i dag?

Med visse unntak – ting har beveget seg i feil retning over mange år. Summen av de tiltak jeg her har gått gjennom har ført til en svekkelse av folks personvern.

Samtidig må vi erkjenne at personvern ikke eksisterer i et vakuum. Politiet må ha gode virkemidler til å forebygge og oppklare kriminelle handlinger. Når politiet stadig møter kryptert kommunikasjon, må vi ha en åpen debatt om det er behov for nye virkemidler. Men dessverre tas det ofte for lett på å dokumentere behovet. Hans Petter Graver og Henning Harborg konkluderte slik i sin rapport til Samferdselsdepartement og Justis- og beredskapsdepartementet om datalagring og menneskerettigheter:

For det første antar vi at domstolene vil stille strenge krav til dokumentasjonen av nødvendigheten av å lagre kommunikasjonsdata til etterforskingsøyemed eller for å avverge straffbare handlinger. I det materialet som er lagt frem hittil finnes ikke en slik dokumentasjon ut over generelle påstander og anekdoter.

I forslaget til dataavlesning ble det ikke engang forsøkt å dokumentere den konkrete betydningen, og Stortinget sa til og med nei til vårt forslag om å grundig dokumentere bruken, og ikke minst innføre dette som en solnedgangslov.

I forslaget til DGF er argumentasjonen for å innføre en form for nettpatruljering knyttet til cybertrusler ganske god, og den er forståelig, men adskillig dårligere når det gjelder terror og annen alvorlig kriminalitet. Det kan også stilles store spørsmål med om de tekniske løsningene som er valgt vil filtrere bort det som skal filtreres bort. Det er også all grunn til å reise tvil om DGF faktisk vil bli et nyttig instrument i en verden der f eks kryptering og dark web gir god mulighet for å skjule alle spor.

Vi går på de små skritts vei. Norge er et fritt, demokratisk land. Men vi trenger en personvernkommisjon på justissektoren. Den må vurdere hvor vi står i dag, hvilken vei vi skal gå videre når det gjelder overvåkning av befolkningen og hva slags vurderinger som må gjøres før slike tiltak iverksettes. Dessuten må en kommisjon undersøke om vi ser tendenser til en nedkjølingseffekt i samfunnet vårt. Begynner noen grupper av befolkningen å bli redde for hva de sier, og hvem de sier det til? Det er kanskje greit for oss som sitter i denne salen. Men vi hører til samfunnets mest taleføre og ressurssterke borgere. Hva med de som lever i randsonen i samfunnet? Raringene, særingene, de med en annen politisk oppfatning eller religiøs oppfatning. Hva med varslere, kilder og klientene til advokater, psykologer og leger?

Eller hva med Yassine, som var informant i en masteroppgave i kriminologi om nedkjølingseffekt som nettopp ble levert? Hun uttrykker det slik:

Jeg har tenkt over det sjæl, når jeg er på telefonen og prater om Islam, så tenker jeg «oi shit, det burde jeg kanskje ikke ha sagt … Tenk om noen hører det og tror jeg kanskje skal bombe noen» eller no ikke sant, det er helt sykt. Du blir jo paranoid.

Jeg er særlig bekymret for Yassine!

Det er også stor sannsynlighet for at dataene brukes til andre formål og av andre myndigheter enn E-tjenesten. Vi sier derfor et klart nei til forslaget.

Uthuling av rettighetene til norske borgere

Siden 2001 er det vedtatt fem anti-terrorpakker i Norge. Det er blant annet innført regler om romavlytting og dataavlesning. Forslaget om et digitalt grenseforsvar går ut på at E-tjenesten vil få tilgang til både metadata og innhold i nett- og teletrafikken som går ut av Norge. Dette flytter grensen for overvåkning av befolkningen dramatisk. For eksempel vil metadata vil bli lagret i 18 måneder.

Slike data avslører for eksempel hvem vi har sendt epost, SMS og bilder til, hvem vi har ringt, hvor vi har vært og hvem vi har truffet. Dette er informasjon de aller færreste ønsker at andre skal ha kjennskap til. En henvendelse til et voldtektsmottak, til Kirkens SOS eller psykiatrisk legevakt forteller sitt klare språk om at det har skjedd noe dramatisk i et menneskes liv.

Tvilsomt om innenlands trafikk kan filtreres ut

E-tjenestens mandat er begrenset til etterretning utenfor Norges grenser, og formålet med det digitale grenseforsvaret er å fange kommunikasjon som passerer Norges landegrense. Det er imidlertid slik at en betydelig del av all innenlands trafikk passerer landegrensen, og dermed vil bli registrert. En e-post som sendes fra en kollega til en annen i Stavanger kan for eksempel gjerne ta turen innom andre land.

Vi vil stå igjen med et datalager der også norske borgeres interne kommunikasjon er registrert.

Lysne II-utvalget, som har lagt fram rapporten som utgjør regjeringens høringsforslag, forsøker å gjøre det uakseptable til noe akseptabelt blant annet ved å foreslå at all kommunikasjon mellom norske borgere skal filtreres bort ved hjelp av avanserte teknologiske løsninger. Det vil imidlertid være svært krevende å lage et filter som klarer å gjøre denne jobben, og vi vil stå igjen med et datalager der også norske borgeres interne kommunikasjon er registrert. Selv om «bare» utenlandsk trafikk lagres, er det snakk om store mengder data, ettersom svært mye kommunikasjon i dagens stadig med globaliserte verden er med personer, bedrifter og offentlige etater utenfor Norges grenser, og det vesentlige av denne kommunikasjonen vil være legitim.

I strid med menneskerettighetskonvensjonen og Grunnloven

Den europeiske menneskerettighetskonvensjonens artikkel 8 og Grunnlovens § 102 slår fast at alle borgere har rett til vern av sitt privatliv og sin korrespondanse. Det er ingen tvil om at det digitale grenseforsvaret bryter med dette viktige prinsippet. Lysne II-utvalget mener allikevel at forslaget ligger innenfor det en stat kan gjøre av inngrep. Datatilsynet er uenig i dette. EU-domstolen har i to avgjørelser, den siste avsagt 21. desember i fjor, slått fast at masselagring av personlig informasjon om oss er uforenlig med menneskerettighetene. EU-domstolen peker på at slike tiltak vil føre til at befolkningen vil få en følelse av å være under kontinuerlig overvåkning. Domstolen sier også at det må være en sammenheng mellom de dataene som lagres og den konkrete trusselen som tiltaket har til hensikt å avverge.

Datatilsynet mener at Lysne II-utvalgets forslag er i strid med både Den europeiske menneskerettskonvensjonen og den norske Grunnloven. Dermed er det ulovlig.

Videre uttaler domstolen at det er et krav at lagringen må være avgrenset med hensyn til tid, sted og ikke minst personkrets. EU-dommen er usedvanlig klar: den stenger helt enkelt døra for generell masselagring av borgernes data. Det digitale grenseforsvaret oppfyller ikke dommens krav til avgrensning, og vil innebære masselagring av informasjon om uskyldige mennesker. Derfor mener Datatilsynet at Lysne II-utvalgets forslag er i strid med både Den europeiske menneskerettskonvensjonen og den norske Grunnloven. Dermed er det ulovlig.

Selve innsamlingen er problemet

At det innføres domstolskontroll med det digitale grenseforsvaret, og man skal kunne søke på enkeltpersoner eller bestemt modus, vil ikke endre på dette. EU-domstolen sier at dette er krav som det er nødvendig å stille til målrettet overvåkning. Masseovervåkning kan ikke aksepteres uansett. Personverninngrepet oppstår allerede når data samles inn og registreres. Men selv målrettet etterforskning av en enkeltperson kan gi grunnlag for undersøkelse av svært mange personer. Utvalget foreslår at overvåkningen kan foregå «to ledd ut» fra den mistenkte. Stanford University gjennomførte et forsøk der 800 personer frivillig lot sine samtaler analyseres «to ledd ut». Forskerne endte opp med en liste på 25 000 navn. Dersom forslaget til digitalt grenseforsvar iverksettes, betyr «to ledd ut» at man kan overvåke ikke bare mistenkte A, men også den A har snakket med, for eksempel B, C og D, og de B, C og D har snakket med, og dermed må vi nesten bruke hele alfabetet.

Et formål fører til et annet

Datatilsynet er opptatt av og har lang erfaring med fenomenet formålsutglidning, det vil si at data brukes til andre formål enn det opprinnelige. For å forhindre dette, foreslår Lysne II-utvalget strenge regler for deling av overskuddsinformasjon fanget opp av det digitale grenseforsvaret.

Det er imidlertid lett å forestille seg at det kan bli et sterkt press fra andre organer, særlig det alminnelige politiet, om å få tilgang til dataene. Vi kan for eksempel tenke oss at det digitale grenseforsvaret fanger opp data som indikerer at det vil skje et drap. At ikke det vil komme et press fra politiet om å utlevere denne typen data er nærmest utenkelig. Utvalget foreslår også at informasjon fra grenseforsvaret ikke kan brukes som bevis i konkrete straffesaker.

Vi må være så ærlige å si at det vil finnes nyttige data der, og da er det kun et spørsmål om tid før politiet får hjemmel å bruke data fra det digitale grenseforsvaret i konkrete saker. Også andre etater, som Skattedirektoratet og Tolletaten, kan kreve tilgang til data. Norsk senter for informasjonssikkerhet (NorSIS) har allerede foreslått at også næringslivet må få tilgang til data fra grenseforsvaret. Det er derfor høyst sikkert at vi vil se en utglidning i formålet.

Det er lett å forestille seg at det kan bli et sterkt press fra andre organer, særlig det alminnelige politiet, om å få tilgang til dataene.

Ytringsfriheten begrenses

Hvorfor er digitalt grenseforsvar et alvorlig angrep mot borgernes personvern? At E-tjenesten vil sitte med informasjon om svært mange nordmenn er i seg selv et problem, og det er naturligvis slik at de aller færreste utgjør en trussel mot samfunnet.

Fri kommunikasjon er en bærebjelke i et demokratisk samfunn, og den dagen vi tenker oss om før vi kommuniserer med et annet menneske har vi tapt en vesentlig samfunnsverdi. Dette er den såkalte nedkjølingseffekten, at vi lar være å kommunisere fritt. Også ytringsfriheten rammes. Datatilsynet har i flere undersøkelser vist at det er indikasjoner på nedkjøling i Norge etter Edward Snowdens avsløringer, selv om de avslørte forhold i andre land, og overvåkningen ble gjort av en fremmed myndighet. EU-domstolen har som nevnt slått fast i to rettsavgjørelser at storstilt datalagring kan «gi borgerne en følelse av å være under kontinuerlig overvåkning».

Og dette er kjernen i spørsmålet: Vil vi legge bånd på oss i vår kommunikasjon? Jeg frykter et ja, og særlig blant grupper som har særlig behov for å kunne kommunisere fritt og uten redsel; de annerledes tenkende, opprørerne, de lovlige avvikerne, snålingene, de med en annen seksuell legning eller politisk oppfatning. For ikke å snakke om advokater, journalister, varslere og kilder, som har et særlig behov for absolutt anonymitet.

Men mer enn noe annet viser dette hva slags konstruksjon det digitale grenseforsvaret egentlig er: Hele løsningen skal ha en delete-knapp som både sletter alle data og ødelegger alt utstyr i fall vi får en ikke-demokratisk maktovertagelse. Det sier egentlig alt om hvilket potensiale det har.

Vårt klare råd er å si nei til et digitalt grenseforsvar i Norge.

Datatilsynets høringsuttalelse kommer 20. januar.